為了防止安全漏洞，大多數(shù)人都避免點擊可疑電子郵件、消息和有風險的下載。然而一種通過“零”交互來感染設備的攻擊方式正悄然而生。它就是我們今天要討論的“零點擊”攻擊場景。

什么是“零點擊”攻擊

無論是直接利用目標軟件中的漏洞，還是通過社會工程手段誘騙受害者放棄關鍵信息，傳統(tǒng)的網(wǎng)絡攻擊方法都需要人為交互，才能實現(xiàn)入侵和擴散目的。

零點擊攻擊是黑客使用的最新方法，它不需要通過用戶的鼠標點擊、人為交互就能實現(xiàn)攻擊目的。相比之下，網(wǎng)絡釣魚等傳統(tǒng)網(wǎng)絡攻擊方法則需要依靠社會工程手段來誘騙受害者點擊惡意內(nèi)容?！傲泓c擊”攻擊則是在沒有任何特定提醒、意外點擊或下載軟件的情況下實現(xiàn)的。零點擊攻擊可謂徹底改變了網(wǎng)絡安全的競爭環(huán)境。

零點擊VS0 day

對于外行來說，這兩種攻擊聽起來很相似。但是，零點擊攻擊和0 day攻擊在本質(zhì)上是完全不同的。零點擊攻擊不依賴于特定機制來控制系統(tǒng)。相比之下，0 day攻擊依賴于現(xiàn)有的軟件漏洞來發(fā)動破壞活動。

不過，兩者之間雖存在本質(zhì)區(qū)別，卻也有關聯(lián)。零點擊攻擊有時會利用一些潛藏很深的0 day漏洞，來實施攻擊活動。

著名的零點擊攻擊案例

最近，最臭名昭著的零點擊攻擊與以色列安全公司NSO Group構(gòu)建的侵入性間諜軟件Pegasus有關。2021年9月，多倫多大學公民實驗室(Citizen Lab)宣布發(fā)現(xiàn)了一種零點擊攻擊。該攻擊允許攻擊者在受害者的設備上安裝Pegasus惡意軟件，監(jiān)聽世界各國的人權(quán)活動人士、企業(yè)高管和政界人士。

此后不久，Google的Project Zero小組發(fā)布了對NSO Group的漏洞利用技術(shù)分析，該漏洞被稱為“FORCEDENTRY”，可通過Pegasus間諜軟件感染iPhone、iPad、Apple Watch和Mac等設備，除了允許訪問文本信息、電話和電子郵件外，攻擊者還可以訪問攝像頭和麥克風。該漏洞避開了蘋果在推出 iOS14時設定的iMessage保護措施“BlastDoor”——一個沙盒安全系統(tǒng)，旨在防止一些可被利用的漏洞。幸運的是，Apple已經(jīng)開發(fā)并發(fā)布了針對此漏洞的相關補丁。

零點擊的危害力

可以說，零點擊將安全威脅提升到了一個全新的水平。它與傳統(tǒng)網(wǎng)絡攻擊相比，存在很多先進和高明的地方：

零點擊攻擊是不可見的。攻擊者只需要瞄準受害者并發(fā)動攻擊。受害者通常不知道他們的設備上存在任何未經(jīng)批準的活動，從而使黑客能夠閱讀消息、篩選照片或存放間諜軟件。

從犯罪分子的角度來看，零點擊攻擊的美妙之處在于，他們無需耗時耗力地設置陷阱，或誘騙受害者執(zhí)行某個特定的任務。與零點擊相比，社會工程或“廣撒網(wǎng)”釣魚(如最近的 COVID-19主題網(wǎng)絡釣魚)活動的成功率相對較低。

零點擊攻擊通過向用戶的手機發(fā)送一條并不觸發(fā)任何通知的消息，就能將某個有針對性的跟蹤工具或間諜軟件安裝到受害者的設備上。用戶甚至不需要解鎖屏幕，手機就會被感染。

零點擊攻擊不會留下任何破壞過程產(chǎn)生的痕跡。

零點擊攻擊采用了目前最為先進的攻擊技術(shù)，往往能夠繞過各種安全端點、防病毒系統(tǒng)、以及防火墻。

除了具有欺騙性外，此類攻擊還具有遠程性和普遍性，它可以通過利用網(wǎng)絡的全面覆蓋、Wi-Fi的漏洞、以及數(shù)據(jù)的去中心化等新的應用形態(tài)，呈指數(shù)級增長地蔓延到移動設備中。

零點擊攻擊的工作原理

為了發(fā)起零點擊攻擊，黑客會將精心編碼的數(shù)據(jù)發(fā)送到通過任何無線信號傳遞的目標設備中。這些數(shù)據(jù)旨在利用設備中硬件或軟件的漏洞，一旦它成功漏洞并提取或監(jiān)控數(shù)據(jù)，它就能運行命令可執(zhí)行文件。數(shù)據(jù)包通常以通信消息的形式到達，如彩信、語音郵件、視頻會議通話、WhatsApp等。

在某些情況下，旨在保護用戶免受惡意網(wǎng)絡活動侵害的安全措施甚至會助力零點擊攻擊。例如，端到端加密可能會導致難以確定是否發(fā)生了零點擊攻擊，因為除了發(fā)送者和接收者之外，沒有人可以看到通過設備發(fā)送的數(shù)據(jù)包的內(nèi)容。

零點擊威脅“助推器”——暗網(wǎng)

網(wǎng)絡犯罪集團通常會創(chuàng)建利用零點擊漏洞的工具。這些工具可以在黑市上賺取數(shù)百萬美元。由于零點擊幾乎無法追蹤的性質(zhì)，它們經(jīng)常被民族國家行為者或希望進行網(wǎng)絡攻擊的政府機構(gòu)使用。

攻擊目標以前主要集中在記者身上。盡管采取了預防措施，但很多記者此前還是遭遇過零點擊威脅，迫使他們刪除了應用程序，重做了大量工作，甚至人身安全也受到了威脅。

零點擊威脅防御建議

零點擊攻擊可能是黑客滲透設備的一種新的、狡猾的方式，但它們?nèi)匀皇强梢灶A防的。以下網(wǎng)絡安全措施能夠有效地防御零點擊攻擊：

• 使用最新的軟件版本和補丁使您的系統(tǒng)保持最新狀態(tài)。雖然這一條是老生常談，但維護系統(tǒng)無疑是防止各種網(wǎng)絡陷阱的關鍵手段；
• 設置系統(tǒng)以阻止彈出窗口和垃圾郵件。如果需要，鼓勵個人相應地配置瀏覽器設置；
• 鼓勵員工對企業(yè)帳戶使用強身份驗證碼，尤其是那些連接到關鍵網(wǎng)絡的帳戶；
• 提醒員工僅從官方應用商店下載應用。與許多惡意模式一樣，零點擊攻擊腳本可以在不安全、安全性薄弱或未經(jīng)審查的軟件應用程序中找到；
• 確保您的組織擁有一個強大的數(shù)據(jù)備份系統(tǒng)，這將有助于在發(fā)生侵入性零點擊事件時加快恢復；
• 警惕手機異常發(fā)熱、屏幕無法點亮、或通話時異常中斷等現(xiàn)象，這些都可能與零點擊攻擊有著密切關系；
• 安裝知名且強大的反間諜軟件和反惡意軟件工具；
• 持續(xù)監(jiān)控通信應用程序中的陌生或未知呼叫、語音郵件和消息。如果發(fā)現(xiàn)可疑的東西，應該更新應用程序和設備的操作系統(tǒng)并運行惡意軟件掃描。

作為一種高效的入侵手段，加上暗網(wǎng)提供的便利，零點擊攻擊勢必會吸引更多惡意行為者的注意，我們必須踐行優(yōu)秀實踐來最大限度地保護自身和企業(yè)免受此類威脅影響。

本文翻譯自：https://www.cybertalk.org/2022/04/05/what-is-a-zero-click-attack-it-could-invisibly-corrupt-devices/